CRITICAL✓ PATCH🇬🇧 English

CVE-2025-12686

Classic Buffer Overflow w Synology BeeStation OS — zdalne wykonanie kodu

CVSS 9.8v3.1pub. 2026-05-27upd. 2026-06-05

Podatność typu buffer overflow w komponencie AdminCenter systemu Synology BeeStation OS umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnego kodu. Ocena CVSS 9.8 (Critical) wskazuje na maksymalne ryzyko dla urządzeń wystawionych na działanie sieci.

Pokaż oryginał (EN)

Buffer copy without checking size of input ('Classic Buffer Overflow') vulnerability in AdminCenter in Synology BeeStation OS before 1.3.2-65648 allows remote attackers to execute arbitrary code via unspecified vectors.

🤖 Analiza AI
Jak działa

Podatność wynika z braku weryfikacji rozmiaru danych wejściowych przed ich skopiowaniem do bufora pamięci (CWE-120 — Classic Buffer Overflow). Atakujący może przesłać specjalnie spreparowane żądanie sieciowe do komponentu AdminCenter, powodując przepełnienie bufora. Pozwala to na nadpisanie obszarów pamięci i przejęcie kontroli nad wykonaniem kodu na urządzeniu. Atak nie wymaga uwierzytelnienia ani interakcji użytkownika.

Skutki

Atakujący może zdalnie wykonać dowolny kod na urządzeniu z uprawnieniami procesu AdminCenter, co w praktyce może prowadzić do pełnego przejęcia kontroli nad urządzeniem, utraty poufności danych oraz naruszenia integralności i dostępności systemu.

Mitygacja

Należy zaktualizować Synology BeeStation OS do wersji 1.3.2-65648 lub nowszej. Szczegóły dostępne w oficjalnym biuletynie bezpieczeństwa producenta: https://www.synology.com/en-global/security/advisory/Synology_SA_25_12

Kogo dotyczy

Synology BeeStation OS w wersjach wcześniejszych niż 1.3.2-65648

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Synology Beestation Os

    OS
    Synology
    1.0 – 1.3.2 (bez)
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCEMemory
CWE
Referencje

Powiązane podatności

CVE-2024-10441CRITICAL9.8PL ✓ten sam produkt

RCE w Synology BeeStation OS i DSM — błąd kodowania wyjścia w systemowym daemonie

CVE-2024-10443CRITICAL9.8PL ✓ten sam produkt

OS Command Injection w Synology BeePhotos i Synology Photos — RCE bez uwierzytelnienia

CVE-2024-10445MEDIUM4.3ten sam produkt

Improper certificate validation vulnerability in the update functionality in Synology BeeStation OS (BSM) befo...

CVE-2024-50629MEDIUM5.3ten sam produkt

Improper encoding or escaping of output vulnerability in the webapi component in Synology BeeStation OS (BSM) ...

CVE-2024-45538CRITICAL9.6PL ✓ten sam vendor

CSRF umożliwiający RCE w Synology DiskStation Manager i Unified Controller

CVE-2025-12686 — Classic Buffer Overflow w Synology BeeStation OS — zdalne wykonanie kodu — CRITICAL 9.8 | CVEbaza.pl